Question

我正在使用Azure AD（.net core 2.1），并注册了我的应用程序并将其配置为将AD组作为声明返回。我还使用声明转换来删除除我的应用程序使用的三个组之外的所有组声明，这成功消除了100个以上的组。我这样做是希望它可以减少后续请求标头中cookie的大小，但事实并非如此。

无论我是否使用Claims转换，cookie的大小都是相同的：

我知道Claims转换是有效的，因为我有一个简单的页面，它在列表中迭代了Claims，并且当我安装了过滤器时，它仅正确显示了三个组。

由于Cookie较大，我收到HTTP 400-请求时间过长。我可以通过修改Web服务器上的注册表来解决此问题（如在其他https://support.microsoft.com/en-us/help/2020943/http-400-bad-request-request-header-too-long-response-to-http-request中所建议的那样），但是我真正的问题是，如果Cookie的大小保持不变，那么过滤声明的目的是什么？

我还想知道是否存在可以用于增加最大标头大小的应用程序设置，以避免必须修改注册表。

我不确定代码在这里是否真的相关，但是这里有一些片段：

public Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
{
        var identity = principal.Identity as ClaimsIdentity;
        if (identity != null)
        {
            var unused = identity.FindAll(GroupsToRemove).ToList();
            unused.ForEach(c => identity.TryRemoveClaim(c));
        }
        return Task.FromResult(principal);
}

该过滤器在Startup.cs中注册为单例：

services.AddSingleton<IClaimsTransformation, FilterGroupClaimsTransformation>();

Answer 1

Brad回答了一个问题，为什么cookie大小不会通过使用Claims转换而改变。由于他的建议，这是我用来减小Cookie大小的代码：

在Startup.cs中，ConfigureServices（）...

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(...)
       .AddCookie(options => options.Events.OnSigningIn = FilterGroupClaims);
}

private static Task<ClaimsPrincipal> FilterGroupClaims(CookieSigningInContext context)
{
    var principal = context.Principal;
    if (principal.Identity is ClaimsIdentity identity)
    {
        var unused = identity.FindAll(GroupsToRemove).ToList();
        unused.ForEach(c => identity.TryRemoveClaim(c));
    }
    return Task.FromResult(principal);
}

private static bool GroupsToRemove(Claim claim)
{
    string[] _groupObjectIds = new string[] { };    // pull from config or whereever
    return claim.Type == "groups" && !_groupObjectIds.Contains(claim.Value);
}

对于我的最终解决方案，我将静态方法移到了另一个类中，但是为了简洁起见，我将所有内容都保留在内联中。通过这种方法，Cookie的大小从6个块减少到2个。

为什么要求转换不减少Cookie的大小？

1 个答案: